发布时间 : 星期六 文章电力行业内部控制更新完毕开始阅读f0524d2ebc64783e0912a21614791711cc7979a6
环境中的权限,严格限制可对生产环境程序和系统重要配置参数进行变更的权限。 5.信息系统安全
(1)信息系统管理部门应根据业务性质、重要程度、涉密情况等确定信息系统的安全等级,采用相应技术手段保证信息系统运行安全有序。
(2)信息系统管理部门应加强对重要业务系统的访问权限管理。制定不相容职责分离要求,避免将不相容职责授予同一用户。应用系统管理员不应同时兼任系统数据库管理员和服务器操作系统管理员。
(3)需要增加、删除或修改系统账号或权限前,应由系统使用部门人员提交系统用户权限变更申请,按照既定程序由相关管理人员审批后,系统管理员才可在系统中修改用户账号或权限。对于超级用户,严格规定其使用条件和操作程序,并开启系统审计日志功能以记录其在系统中的操作,超级用户权限使用完毕后需及时收回。信息系统管理部门应定期对系统账号和权限进行审查,避免存在授权不当或非授权账号。
(4)信息系统管理部门应制定机房管理制度,明确规定机房禁止非工作人员进入,特殊情况需经过相应授权批准,填写访客登记表。机房应安装门禁和监控设备。 四、 监督评价
1.信息系统规划
(1)检查信息系统管理部门的人员配备是否充足,是否制定信息系统相关的制度。 (2)检查是否制定了信息系统战略规划和年度信息化工作计划。 2.信息系统开发上线
(1)检查信息系统开发项目是否存在可行性研究报告,可行性研究报告是否经过相应的审批。
(2)检查外购项目是否采用合理方式(如招标)确定供应商,项目是否签订了有效合同。
(3)检查软件开发总体方案是否明确了系统需求、功能模块、软件架构、工作计划等内容,项目计划是否对于阶段成果目标、人员分工及进度安排进行了规定。
(4)检查需求文档是否涵盖相关业务的各个方面。检查是否存在系统测试计划,单元测试和系统测试文档是否完备,对于测试结果存在问题的环节,是否进行了后续跟进处理。 (5)检查上线计划是否对于上线计划和范围、上线环境准备、基础数据准备及风险防范等进行了说明,上线计划是否经过适当管理人员的审批。
(6)检查是否对项目进行验收,验收报告上是否存在相关部门的签字确认。 3.信息系统日常运维
(1)检查日常巡检报告,对发现的问题是否及时解决或报告。
(2)检查对信息系统数据是否定期备份、异地备份,是否定期进行了数据恢复性测试。 (3)检查信息系统管理部门是否制定了信息系统相关的应急预案,是否定期进行应急演练。
(4)检查企业内网内的计算机是否安装了防病毒软件,杀毒软件版本是否更新。检查员工个人手机和电脑设备是否可以随意接入企业内部网络。4.信息系统变更
(1)检查信息系统管理部门是否建立系统变更申请、审批、执行、测试的流程。 (2)若存在需要进行程序开发的系统变更活动,检查是否建立了单独的系统开发(变更)环境、系统测试环境和系统生产环境。检查各环境中的人员权限是否得到有效控制,尤其关注可以对生产环境程序和系统重要配置参数进行变更的权限是否授予适当的人员。 (3)检查系统变更活动是否存在经过审批的系统变更申请记录。 5.信息系统安全
(1)检查信息系统管理部门是否明确各信息系统的安全等级。
(2)检查信息系统管理部门是否制定了不相容职责分离要求,检查应用系统管理员是否同时兼任系统数据库管理员和服务器操作系统管理员。
(3)检查进入机房是否需要访客登记,机房是否安装了门禁和监控设备。
第六章 内部监督
第一节 内部监督概述
电力企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。 内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一个或者某些方面进行有针对性的监督检查。
电力企业应根据企业内部监督的职责分工实施日常监督,督促各级业务部门领导落实企业内部控制整体要求和具体的流程控制。按照不同的监督主体及相应的管理要求,电力企业日常监督可以体现为不同的形式,例如定期的经营分析会、生产例会、总经理办公会等。由内部审计机构(或经授权的其他监督机构)每年开展内部控制自我评价工作,与管理层就内部控制缺陷进行讨论,向董事会或其他专业委员会汇报评价结果,督促管理层及相关业务部门实施整改,也是日常监督的普遍做法。
专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。电力企业可以根据日常监督的结果,识别内控管理的薄弱环节,进行有针对性的风险评估,组织开展必要的专项监督。 例如,某电力公司在日常监督检查时发现,下属某供电局最近一个季度的电费收入出现大幅下降,但同期抄表电量与前期没有明显差异。经过详细用电检查发现辖区内用电单位绕越计量装置窃电。该供电局及时查处了窃电用户并将相关事件上报了上级单位。不久该电力公司即在全公司各个辖区组织了反窃电专项突击检查,成立了反窃电专项行动小组,制定了反窃电专项行动措施。按照分线分台区,与公安机关建立联动协同机制,开展警电联合执法。根据事先制定的详细整治方案,划定城区内窃电、违约用电嫌疑户及配电线路的“高损区”,跟踪线损波动,采取突击检查、夜间巡查和拉网式检查等方式,对公共变台区、高线损台区、电量异常等用户进行重点排查。活动共出动检查人员 200 人次,现场检查用户近2 万户,查处窃电15户,违约用电 8户,并根据有关规定进行了处理,有力震慑了窃电犯罪行为。
第二节 内部控制评价 内部控制评价,是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价是内部监督的一项重要制度安排,是内部控制的重要组成部分,对于建立和实施内部控制具有十分重要的作用。
电力企业应当制定内部控制评价办法,明确评价的职责分工、评价内容、工作程序等内容,规范开展内部控制评价工作。 一、 内部控制评价的对象
内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
1.内部控制设计的有效性,是指为实现控制目标所必需具备的内部控制要素及程序都存在,并且设计恰当,能够为控制目标的实现提供合理保证。
设计有效性的根本判断标准是所设计的内部控制是否能为内部控制目标的实现提供合理保证。对于财务报告目标而言,所设计的相关内部控制是否能够防止或发现并纠正财务报告的重大错报,是判断其设计是否有效的标准;对于合规目标而言,所设计的相关内部控制是否能够合理保证遵循适用的法律法规,是判断其设计是否有效的标准;对于资产安全目标而言,所设计的内部控制是否能够合理保证资产的安全、完整,防止资产
失;对于战略、经营目标而言,由于其实现还受到许多不可控的因素(尤其是外部因素)的影响,因而判定相关内部控制的设计是否有效的标准,是所设计的内部控制是否能够合理保证董事会和经理层及时了解这些目标的合理性和实现程度、从而调整目标和改进措施。 2.内部控制运行的有效性,是指在内部控制设计有效的前提下,内部控制能够按照设计有效实施,从而为实现控制目标提供合理保证。评价内部控制运行的有效性,应当着重考虑以下几个方面:
(1)相关控制在评价期内是如何运行的; (2)相关控制是否得到了持续一致的运行;
(3)实施控制的人员是否具备必要的权限和能力。 需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,受内部控制固有局限影响,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证,不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。 二、 内部控制评价的原则
实施内部控制评价至少应当遵循下列原则:
1.全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
3.客观性原则。评价工作应当准确揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、 内部控制评价的组织形式和职责安排
企业应当结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业内部控制评价办法应当具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。
1.内部控制评价的组织形式
企业可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。内部控制评价机构必须具备一定的设置条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说,企业可根据自身特点,决定是否单独设置专门的内部控制评价机构。对于单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实
施工作。为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。 企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,内部控制评价报告的责任仍然应由企业董事会承担。另外,为保证审计的独立性,为企业提供内部控制审计的会计师事务所,不得同时为同一家企业提供内部控制评价服务。
2.有关方面在内部控制评价中的职责和任务。 无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说:
(1)董事会对内部控制评价承担最终的责任。企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。
(2)经理层负责组织实施内部控制评价工作。实际操作中,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
(3)内部控制评价机构根据授权承担内部控制评价的具体组织实施任务,通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情况拟订内部控制考核方案。
(4)各专业部门应负责组织本部门的内部控制自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。
(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监控机制,开展内部控制自查、测试和定期检查评价,发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。
四、 内部控制评价的内容
电力企业应当根据《企业内部控制基本规范》及其配套指引、本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价,或者就某一方面进行专项评价。 1.组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
2.组织开展风险评估评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合《中央企业全面风险管理指引》和本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。 3.组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评